標題: NSA、FBI警告俄羅斯發動Linux惡意程式Drovorub攻擊政府及國防單位 新聞來源: (須有正確連結) https://www.ithome.com.tw/news/139403 新聞 NSA、FBI警告俄羅斯發動Linux惡意程式Drovorub攻擊政府及國防單位 美國國安局及聯邦調查局發布安全公告，指出俄羅斯情報機關以名為Drovorub的Linux惡意程式，攻擊政府及國防單位使用的Linux系統 按讚加入iThome粉絲團 文/林妍溱|2020-08-14發表 NSA及FBI指出，這波間諜行動使用的Drovorub是一組Linux工具，一旦部署到目標系統中，Drovorub植入用戶端載體可能從事多種行動，包括和駭客控制的外部C&C伺服器建立通訊、下載和上傳系統檔案。（圖片來源／https://media.defense.gov/2020/Aug/13/2002476465/-1/-1/0/CSA_DROVORUB_RUSSIAN_GRU_MALWARE_AUG_2020.PDF） 美國國安局（NSA）及聯邦調查局（FBI）昨（13）日發布聯合網路安全公告，警告俄羅斯情報機關正以名為Drovorub的Linux惡意程式，攻擊政府及國防工業用Linux系統。 發動攻擊的是隷屬於俄羅斯情報總局（GRU）85主要特勤中心（GTsSS）的軍事單位26165，一般又被稱為Fancy Bear、Strontium以及APT 28。Fancy Bear被指控曾在2016年入侵美國民主黨伺服器竊取川普陣營資料、以釣魚網站干擾2018年期中選舉、及攻擊運動及反禁藥組織。 NSA及FBI指出，這波間諜行動使用的Drovorub是一組Linux工具，包含植入載體（implant）、核心模組rootkit、檔案傳輸與傳輸埠轉送（port forwarding）工具及C&C伺服器。一旦部署到目標系統中，Drovorub植入用戶端載體可能從事多種行動，包括和駭客控制的外部C&C伺服器建立通訊、下載和上傳系統檔案、以及以根權限執行任意程式碼，還能利用傳輸埠轉送功能，將網路流量傳到同一網路上的其他主機上。 另外，報告還提醒，Drovorub核心的rootkit模組，也會利用多種手法以長期隱身於受害主機上。除非機器UEFI Secure Boot安全開機功能啟用「完整」或「徹底」模式，否則即使主機重新開機也不會被刪除。依據其多種功能，安全廠商McAfee 專家稱其為駭入Linux 系統的「瑞士小刀」。 這項安全公報並未說明美國政府是否已有單位受害，但NSA及FBI指出，Drovorub已對使用Linux系統的美國國安系統、國土安全部、生產軍隊設備的國防工業基地構成威脅。 本公告也呼籲網路及系統管理員採取防禦措施，包括升級到最新版Linux 3.7版核心，以符合核心簽章安全措施。此外，系統也應啟動UEFI Secure Boot，以防系統載入惡意核心模組。 ※每日每人發文、上限量為十篇，超過會劣文請注意 ⊕標題選用"新聞"，請確切在標題與新聞來源處填入，否則可無條件移除(本行可移除) -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.137.160.7 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/IA/M.1597382475.A.386.html